2019年5月,KrebsOnSecurity爆出消息称,抵押贷款所有权保险巨头第一美国金融公司(First American Financial Corp.)的网站曝光了大约8.85亿条与2003年抵押贷款交易有关的记录。周三,纽约的监管机构宣布,First American是他们有史以来第一次与这起事件有关的网络安全执法行动的目标,这些指控可能会带来巨额的经济处罚。
总部位于加利福尼亚州圣安娜的First American[纽约证券交易所代码:FAF]是房地产和抵押贷款行业产权保险和结算服务的领先提供商。它雇佣了大约1.8万名员工,2019年的收入为62亿美元。
正如去年在这里首次报道的那样,First American的网站披露了16年的数字化抵押贷款所有权保险记录-包括银行账号和对账单、抵押贷款和税务记录、社会保障号码、电汇交易收据和驾照图像。
根据纽约州金融服务部(DFS)提交的一份文件(PDF),暴露这些文件的漏洞最初是在2014年5月的一次应用软件更新期间引入的,多年来一直没有被发现。
更糟糕的是,DFS发现,该漏洞是在2018年12月First American自行进行的渗透测试中发现的。
DFS在一份关于指控的声明中解释说:“值得注意的是,响应方反而允许数百万客户在六个月内不受限制地获取个人和财务数据,直到这起入侵事件及其严重后果被一名全国公认的网络安全行业记者广泛报道。”
路透社(Reuters)报道称,对First American的处罚可能会很严重:DFS将每一次泄露个人信息的情况视为单独的违规行为,该公司每次违规将面临最高1000美元的罚款。
在一份书面声明中,First American表示,它强烈反对DFS的调查结果,它自己的调查确定,只有“非常有限的数量”的消费者--没有来自纽约的消费者--在未经许可的情况下访问了个人数据。
2019年8月,该公司表示,对曝光的第三方调查发现,只有32名消费者的非公开个人信息可能在未经授权的情况下被访问。
去年,当KrebsOnSecurity询问它保留了多长时间的访问日志,或者审查进行了多长时间后,First American拒绝透露更多细节,只是说它的日志涵盖了一段时间,这对于像它这样规模和性质的公司来说是典型的。
但在周三的文件中,DFS表示,第一美国人无法确定记录是否在2018年6月之前被访问。
DFS发现:“被告的法医调查依赖于对2018年6月以来保留的网络日志的审查。”“被访者自己的分析显示,在这11个月期间,超过35万份文件被自动‘机器人’或‘刮刀’程序未经授权访问,这些程序旨在收集互联网上的信息。
第一美国人曝光的记录将是参与所谓的商业电子邮件妥协(BEC)骗局的钓鱼者和诈骗者的虚拟金矿,这些骗局经常冒充房地产经纪人、关闭机构、所有权和托管公司,以欺骗购房者将资金电汇给欺诈者。根据联邦调查局的说法,BEC诈骗是当今代价最高的网络犯罪形式。
在他们数据泄露的消息在这里发布后的第二天,第一美国公司的股价下跌了6%以上。在接下来的几天里,DFS和美国证券交易委员会(U.S.Securities and Exchange Commission)分别宣布正在调查该公司。
First American今天发布了2020年第一季度财报。针对DFS指控的听证会定于10月26日举行。